再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现 该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能 4月9日一条视频宣称 Telegram Desktop 客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认 Desktop 版本远程代码执行漏洞。 4月12日 Rosmontis_Daily 发现： Telegram Desktop库下一条PR中提到一个 Bug，能通过某种方式发送 pyzw 格文件，Telegram 会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境。 出于安全考虑，请禁用自动下载功能。 按照以下步骤操作： 进入设置(Settings) 点击“高级(Advanced)” 在“自动下载媒体文件(Automatic Media Download)”部分，禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。

【慢讯】Telegram的RCE已修复

【慢讯】Telegram的RCE已修复 Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE，会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件，并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows，并安装了Python，这会给攻击者执行远程代码一个可乘之机。 目前GitHub上的存储库已合并修复此安全漏洞的拉取请求，同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。 POC: 消息来源： 投稿By:kishinsagi 管理员：为了安全，近期我们已完成查询墙国蛙蛤蛤旗下运营的三个群组的所有聊天记录和近2天的删除记录，没有迹象表明中共国安正在使用此手段针对用户进行钓鱼，目前管理员和小编无一人受此影响（但不排除针对其他用户进行私信钓鱼）。 #编程随想

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其中一些帖子声称这是一个零点击缺陷，但演示所谓的安全警告绕过和 RCE 漏洞的视频清楚地显示有人点击共享媒体来启动 Windows 计算器。Telegram 很快反驳了这些说法，称他们“无法确认此类漏洞的存在”，并且该视频很可能是一个骗局。 然而，第二天，XSS 黑客论坛上分享了一个概念验证漏洞，解释说 Windows 版 Telegram 源代码中的拼写错误可能会被利用来发送 Python.pyzw文件，在单击时绕过安全警告。这导致该文件自动由 Python 执行，而不会像其他可执行文件那样发出来自 Telegram 的警告，并且如果不是拼写错误的话，应该对此文件执行此操作。 POC将 Python 文件伪装成共享视频以及缩略图，可用于诱骗用户点击假视频来观看。在给 BleepingComputer 的一份声明中，Telegram 正确地质疑该错误是零点击缺陷，但确认他们修复了 Windows 版 Telegram 中的“问题”，以防止 Python 脚本在点击时自动启动。BleepingComputer 询问 Telegram 他们如何知道用户的 Windows 设备上安装了哪些软件，因为他们的隐私政策中没有提及此类数据。 Telegram Desktop 客户端会跟踪  与风险文件（例如可执行文件）相关的 文件扩展名列表。当有人在 Telegram 中发送其中一种文件类型，并且用户单击该文件时，Telegram 首先会显示以下安全警告，而不是在 Windows 中的关联程序中自动启动。Telegram 警告中写道：“此文件的扩展名为 .exe。它可能会损害您的计算机。您确定要运行它吗？安装 Windows 版 Python 后，它会将.pyzw文件扩展名与 Python 可执行文件关联起来，从而使 Python 在双击文件时自动执行脚本 .pyzw 扩展名适用于 Python zipapps，它们是 ZIP 存档中包含的独立 Python 程序。Telegram 开发人员意识到这些类型的可执行文件应被视为有风险，并将其添加到可执行文件扩展名列表中。不幸的是，当他们添加扩展名时，他们犯了一个拼写错误，将扩展名输入为“ pywz”，而不是正确拼写的“ pyzw”。因此，当这些文件通过 Telegram 发送并点击时，如果 Python 安装在 Windows 中，它们会自动由 Python 启动。 如果攻击者能够诱骗目标打开文件，这将有效地允许攻击者绕过安全警告并在目标的 Windows 设备上远程执行代码。为了伪装该文件，研究人员设计了使用 Telegram 机器人来发送具有“video/mp4”mime 类型的文件，从而使 Telegram 将文件显示为共享视频。如果用户单击视频来观看，脚本将自动通过 Windows 版 Python 启动。 该错误于 4 月 10 日向 Telegram 报告，他们通过更正“data_document_resolver.cpp”源代码文件中的扩展名拼写来修复该错误。但是，此修复似乎尚未生效，因为当您单击文件启动它时不会出现警告。 相反，Telegram 利用了服务器端修复程序，将 .untrusted 扩展名附加到 pyzw 文件，单击该扩展名后，Windows 将询问您希望使用什么程序来打开它们，而不是在 Python 中自动启动。Telegram 桌面应用程序的未来版本应包含安全警告消息，而不是附加“.untrusted”扩展名，从而为流程添加更多安全性。win系统飞机请使用最新版 广告赞助 中菲速递  菲律宾 信誉之最物流 中菲海运空运 布偶猫舍 种猫均为赛级布偶，纯散养家庭在菲猫舍   免费投稿/曝光/澄清  @FChengph 今日新闻频道 @cctvPH

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示，无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。该视频很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。” 之前有消息报告称 Telegram 出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示，无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。这很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称 Telegram 出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

#安全资讯 研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯 研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击